Под уровнем защищенности персональных данных (УЗ) понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн).
- От чего зависит уровень защищенности ПД при их обработке в ИСПД
- Сколько уровней защищенности персональных данных ИСПДн
- От чего зависит уровень защищенности персональных данных ( ИСПДн ) и как его выбрать
- Подробно рассмотрим уровни защищённости персональных данных
- УЗ-1 (высший уровень защиты персональных данных)
- УЗ 2 устанавливается при наличии хотя бы одного из условий
- УЗ 3 устанавливается при наличии хотя бы одного из условий
- УЗ 4 устанавливается при наличии хотя бы одного из условий
От чего зависит уровень защищенности ПД при их обработке в ИСПД
- Категория обрабатываемых ПД;
- Количество обрабатываемых субъектов ПД;
- Тип актуальных угроз безопасности ПД при их обработке в ИСПД.
Сколько уровней защищенности персональных данных ИСПДн
Определение уровня защищенности персональных данных ИСПДн проводится в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 №1119. При обработке персональных данных в ИСПДн устанавливаются 4 уровня защищенности персональных данных (УЗ1, УЗ2, УЗ3, УЗ4).
Самый низкий УЗ – четвертый, самый высокий – первый. Уровни защищенности персональных данных при их обработке в ИСПДн определяются в зависимости от типа актуальных угроз безопасности персональных данных с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные.

Актуальные угрозы могут быть 1-го типа (для ИСПДн актуальны угрозы использования недекларированных возможностей в системном ПО), 2-го типа (актуальны угрозы использования недекларированных возможностей в прикладном ПО), 3-го типа (вышеприведенные угрозы не актуальны).
От чего зависит уровень защищенности персональных данных ( ИСПДн ) и как его выбрать
Выбор уровня защищенности (далее — УЗ) персональных данных зависит от перечисленных выше характеристик ИСПДн (категории обрабатываемых ПДн и тип актуальных для ИСПДн угроз), а также от категории субъектов (сотрудники оператора или иные лица) и количества субъектов, чьи ПДн обрабатываются (больше или меньше 100000 записей).
ПП-1119 предлагает достаточно сжатый перечень мер защиты ПДн, поскольку детальные меры безопасности персональных данных определяет ФСТЭК России: Приказ №21 от 18.02.2013 утверждает состав и содержание организационных и технических мер по обеспечению безопасности ПДн, а Приказ №17 от 11.02.2013 регламентирует требования по защите информации в ГосИС, включая защиту ПДн в сфере информационной безопасности в них. Кроме этого, ФСБ РФ также выпустила Приказ №378 от 10.07.2014, который содержит описание мер защиты ПДн при использовании средств криптографической защиты информации (далее — СКЗИ).
- Постановление Правительства РФ от 01.11.2012 г. № 1119, которое определяет классификацию ИСПДн, возможных угроз и уровней защищенности ПДн;
- Приказ ФСТЭК России от 18.02.2013 г. № 21, определяющий перечень мер защиты, которые должны быть реализованы в зависимости от уровня защищенности ИСПДн для нейтрализации актуальных угроз, а также требования к сертификации применяемых средств защиты информации.
- Приказ ФСБ России от 10.07.2014 г. № 378, определяющий состав организационных и технических мер, которые необходимо реализовывать при применении в ИСПДн средств криптографической защиты информации. Документ также содержит требования к классу защиты СКЗИ в зависимости от уровня защищенности ПДн.

Подробно рассмотрим уровни защищённости персональных данных
УЗ-1 (высший уровень защиты персональных данных)
Требуется, когда информационная система обрабатывает специальные, биометрические или иные категории данных, несанкционированное использование которых может повлечь значительные угрозы жизни и здоровья субъекту ПДн, или финансовые последствия. Специальные категории ПДн, к которым относится информация о национальной и расовой принадлежности субъекта, о религиозных, философских, либо политических убеждениях, информация о здоровье и интимной жизни субъекта.Требуется специальное ПО, шифрование.
- актуальны угрозы 1-го типа и ИС обрабатывает либо специальные категории ПДн, либо биометрические персональные данные, либо иные категории персональных данных;
- актуальны угрозы 2-го типа и ИС обрабатывает специальные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.
Дополнительные требования защиты персональных данных первого уровня:
- Присутствие посторонних в местах обработки ПД запрещено
- Наличие списка работников, которые имеют свободный доступ к ПДн
- Использование сертифицированных средств защиты данных
- Наличие сотрудника, ответственного за надлежащее обеспечение защиты ПД
- Настройка прав доступа к электронному журналу сообщений
- Автоматическая запись в электронном журнале безопасности в случае изменений полномочий сотрудника
- Наличие собственного отдела безопасности в штате учреждения, обрабатывающего ПД
УЗ 2 устанавливается при наличии хотя бы одного из условий
Используются чуть менее жёсткие требования для защиты данных, компрометация которых может привести к негативным последствиям для субъектов ПДн. Обязательно наличие систем резервного копирования и защиты от взлома. Этот уровень устанавливается, когда, например, имеются угрозы второго типа и ведётся работа с общедоступными личных данными при количестве от 100 тысяч человек.
- актуальны угрозы 1-го типа и ИС обрабатывает общедоступные персональные данные;
- актуальны угрозы 2-го типа и ИС обрабатывает специальные категории ПДн сотрудников оператора или специальные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
- актуальны угрозы 2-го типа и ИС обрабатывает биометрические персональные данные;
- актуальны угрозы 2-го типа и ИС обрабатывает общедоступные ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
- актуальны угрозы 2-го типа и ИС обрабатывает иные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
- актуальны угрозы 3-го типа и ИС обрабатывает специальные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.
Дополнительные требования защиты персональных данных второго уровня:
- Присутствие посторонних в местах обработки ПД запрещено
- Наличие списка работников, которые имеют свободный доступ к ПДн
- Использование сертифицированных устройств защиты данных
- Наличие сотрудника, ответственного за надлежащее обеспечение защиты ПД
- Настройка прав доступа к электронному журналу сообщений
УЗ 3 устанавливается при наличии хотя бы одного из условий
Уровень защиты, необходимый для хранения иных данных и работе с общедоступными ПДн с количеством субъектов не более ста тысяч.
- актуальны угрозы 2-го типа и ИС обрабатывает общедоступные ПДн сотрудников оператора или общедоступные ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
- актуальны угрозы 2-го типа и ИС обрабатывает иные категории ПДн сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
- актуальны угрозы 3-го типа и ИС обрабатывает специальные категории ПДн сотрудников оператора или специальные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора;
- актуальны угрозы 3-го типа и ИС обрабатывает биометрические персональные данные;
- актуальны угрозы 3-го типа и ИС обрабатывает иные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.
Дополнительные требования защиты персональных данных третьего уровня:
- Присутствие посторонних в местах обработки ПД запрещено
- Наличие списка работников, которые имеют свободный доступ к ПДн
- Использование сертифицированных устройств защиты данных
- Наличие сотрудника, ответственного за надлежащее обеспечение защиты ПД
УЗ 4 устанавливается при наличии хотя бы одного из условий
- актуальны угрозы 3-го типа и ИС обрабатывает общедоступные персональные данные;
- актуальны угрозы 3-го типа и ИС обрабатывает иные категории ПДн сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора.
Дополнительные требования защиты персональных данных четвертого уровня:
- организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- обеспечение сохранности носителей персональных данных;
- утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Узнать как Роскомнадзор проводит проверку можно прочитав следующую статью.